ParkMobile泄密事件暴露了2100萬(wàn)用戶(hù)的車(chē)牌數(shù)據(jù)和手機(jī)號(hào)碼

安全 2021-04-13 10:57

聲明：該文章由作者（胡知鷙）發(fā)表，轉(zhuǎn)載此文章須經(jīng)作者同意并請(qǐng)附上出處(0XUCN)及本頁(yè)鏈接。。

據(jù)知名網(wǎng)絡(luò)安全新聞網(wǎng)站KrebsOnSecurity報(bào)道，有人正在網(wǎng)絡(luò)犯罪論壇上出售在北美頗受歡迎的移動(dòng)停車(chē)應(yīng)用ParkMobile的2100萬(wàn)客戶(hù)的賬戶(hù)信息。被盜數(shù)據(jù)包括客戶(hù)的電子郵件地址、出生日期、電話(huà)號(hào)碼、車(chē)牌號(hào)、哈希密碼和郵寄地址。

KrebsOnSecurity首次從紐約市的威脅情報(bào)公司Gemini Advisory那里聽(tīng)說(shuō)了這一漏洞，該公司密切關(guān)注網(wǎng)絡(luò)犯罪論壇。Gemini在一個(gè)俄語(yǔ)犯罪論壇上分享了一個(gè)新的銷(xiāo)售線(xiàn)索，在附帶的被盜數(shù)據(jù)截圖中包含了一些用戶(hù)的ParkMobile賬戶(hù)信息、電子郵件地址和電話(huà)號(hào)碼，以及車(chē)輛的車(chē)牌號(hào)。

當(dāng)被問(wèn)及銷(xiāo)售線(xiàn)索時(shí)，總部位于亞特蘭大的ParkMobile表示，該公司在3月26日發(fā)布了一則通知，內(nèi)容是 "發(fā)生了一起網(wǎng)絡(luò)安全事件，與我們使用的一款第三方軟件的漏洞有關(guān)"。

“作為回應(yīng)，我們立即在一家領(lǐng)先的網(wǎng)絡(luò)安全公司的協(xié)助下展開(kāi)調(diào)查，以解決這一事件，”通知中寫(xiě)道?！俺鲇谥?jǐn)慎起見(jiàn)，我們也已經(jīng)通知了相關(guān)執(zhí)法部門(mén)。調(diào)查還在進(jìn)行中，我們目前能提供的細(xì)節(jié)有限?！?/p>

聲明還指出：“我們的調(diào)查表明，我們加密的敏感數(shù)據(jù)或支付卡信息均未受影響。同時(shí)，自從了解到該事件以來(lái)，我們還采取了其他預(yù)防措施，包括消除第三方漏洞，維護(hù)我們的安全性以及繼續(xù)監(jiān)視我們的系統(tǒng)。”

當(dāng)被要求澄清攻擊者確實(shí)獲取了什么信息時(shí)，ParkMobile證實(shí)其中包括基本的賬戶(hù)信息--車(chē)牌號(hào)，如果提供，還包括電子郵件地址或電話(huà)號(hào)碼等。

"在一小部分情況下，可能會(huì)有郵寄地址，"發(fā)言人Jeff Perkins說(shuō)。

ParkMobile并不存儲(chǔ)用戶(hù)密碼，而是存儲(chǔ)了一種相當(dāng)強(qiáng)大的單向密碼哈希算法的輸出，這種算法被稱(chēng)為bcrypt，它比MD5等常見(jiàn)的替代方案更耗費(fèi)資源，破解成本更高。從ParkMobile竊取并出售的數(shù)據(jù)庫(kù)包括每個(gè)用戶(hù)的bcrypt哈希值。

"你說(shuō)的沒(méi)錯(cuò)，bcrypt哈希值和‘加鹽’密碼都被獲得了，"當(dāng)被問(wèn)及數(shù)據(jù)庫(kù)銷(xiāo)售線(xiàn)程中的截圖時(shí)，Perkins說(shuō)。

"注意，我們的系統(tǒng)中并沒(méi)有保留加鹽值，"他說(shuō)。"此外，被泄露的數(shù)據(jù)不包括停車(chē)歷史、位置歷史或任何其他敏感信息。我們不會(huì)向用戶(hù)收集社會(huì)安全號(hào)碼或駕駛執(zhí)照號(hào)碼。"

ParkMobile表示，它正在最后確定其支持網(wǎng)站的更新，以確認(rèn)其調(diào)查的結(jié)論。但不知道其有多少用戶(hù)甚至知道這次安全事件。3月26日的安全通知似乎沒(méi)有鏈接到ParkMobile網(wǎng)站的其他部分，而且該公司最近的新聞稿列表中也沒(méi)有它。

同樣令人好奇的是，ParkMobile并沒(méi)有要求或強(qiáng)迫其用戶(hù)更改密碼作為預(yù)防措施。安全研究人員使用ParkMobile應(yīng)用來(lái)重置密碼，但應(yīng)用中沒(méi)有任何信息提示這是一件及時(shí)的事情。

這次數(shù)據(jù)泄露事件對(duì)ParkMobile來(lái)說(shuō)是在一個(gè)關(guān)鍵的時(shí)刻發(fā)生的。3月9日，歐洲停車(chē)集團(tuán)EasyPark宣布計(jì)劃收購(gòu)該公司，該公司在北美450多個(gè)城市運(yùn)營(yíng)。

關(guān)注我們